IT審計及COBIT體系ppt課件.ppt

1、IT審計及COBIT模型,2013/12/28,1,內(nèi)容安排,1.IT審計介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,2,信息系統(tǒng)審計(ITA)是以企業(yè)或政府等組織的信息系統(tǒng)為審計對象，通過現(xiàn)代的審計理論和IT管理理論，從信息資產(chǎn)的安全性、數(shù)據(jù)的完整性以及系統(tǒng)的有效性和效率性等方面出發(fā)，對其是否能夠有效可靠的達到組織的戰(zhàn)略目標(biāo)進行全面的監(jiān)測和評估，并為改善和健全組織對信息系統(tǒng)的控制提出詳細的建議。 IT審計對象是信息系統(tǒng)，審計內(nèi)容是計算機資源管理、硬件、軟件獲取、系統(tǒng)軟件、數(shù)據(jù)庫、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)開發(fā)、系統(tǒng)維護、操作、安全等審計,3,IT審計介紹,Asset

2、Security（資產(chǎn)安全性） Effectivity（系統(tǒng)有效性） Efficiency（系統(tǒng)效率性） Data Integrity（數(shù)據(jù)完整性）,4,IT審計目標(biāo),信息系統(tǒng)調(diào)查 信息系統(tǒng)內(nèi)部控制測試 信息系統(tǒng)初步評價 信息系統(tǒng)實質(zhì)性測試 信息系統(tǒng)綜合評價,5,IT審計流程,6,計算機信息系統(tǒng)審計流程,信息系統(tǒng)調(diào)查是對被審計單位信息系統(tǒng)的管理體制、總體架構(gòu)、規(guī)劃設(shè)計、管理水平等進行全面、深入地了解，是進行信息系統(tǒng)審計的基礎(chǔ)。 了解管理體制，從總體上把握被審計單位信息系統(tǒng)管理的基本情況。 了解總體架構(gòu)，完成對被審計單位有什么類型的信息系統(tǒng)，每個系統(tǒng)有多少子系統(tǒng)，信息系統(tǒng)分布在哪些部門，信息系統(tǒng)

3、之間有什么關(guān)系的調(diào)查。 了解規(guī)劃管理，對信息系統(tǒng)建設(shè)、使用、管理情況的調(diào)查。,7,信息系統(tǒng)調(diào)查,IT內(nèi)部控制的類型：根據(jù)控制的范圍，信息系統(tǒng)內(nèi)部控制分為 一般控制 應(yīng)用控制,8,IT內(nèi)部控制,是指對整個計算機信息系統(tǒng)及環(huán)境要素實施的，對系統(tǒng)所有的應(yīng)用或功能模塊具有普遍影響的控制措施。劃分成五類控制： 組織控制：為實現(xiàn)組織的目標(biāo)而進行的組織結(jié)構(gòu)設(shè)計、權(quán)責(zé)安排和制度設(shè)計。包括職責(zé)分離、授權(quán)、監(jiān)督、人事管理等 系統(tǒng)開發(fā)與維護控制：包括需求定義、開發(fā)規(guī)劃、系統(tǒng)設(shè)計、編程實現(xiàn)、測試、運行維護、文檔管理等控制,DIB 中國領(lǐng)先內(nèi)部控制和風(fēng)險管理解決方案提供商,9,一般控制,安全控制：保持良好的運行環(huán)境，包

4、括訪問接觸、環(huán)境安全、防病毒、安全保密、安全教育等控制 硬件及系統(tǒng)軟件控制 （1）硬件控制 （2）軟件控制 5、操作控制 信息系統(tǒng)的使用操作應(yīng)有一套完整的管理制度，包括上機 守則與操作規(guī)程、上級日志記錄、保密制度和操作工作計 劃等。,10,一般控制,應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。 分成三類控制 輸入控制：保證只有經(jīng)過授權(quán)批準(zhǔn)的業(yè)務(wù)才能輸入計算機信息系統(tǒng)；保證經(jīng)批準(zhǔn)的數(shù)據(jù)沒有丟失、遺漏和篡改；保證被計算機拒絕的錯誤數(shù)據(jù)能改正后重新提交。包括數(shù)據(jù)采集、數(shù)據(jù)輸入控制,11,應(yīng)用控制,處理控制：對信息系統(tǒng)進行的內(nèi)部數(shù)據(jù)處理活動的控制措施，這些

5、控制措施往往被寫入計算機程序，包括數(shù)據(jù)有效性檢測、錯誤糾正控制。 輸出控制：主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶，包括輸出錯誤處理、輸出報告管理、報告接收確認,12,應(yīng)用控制,內(nèi)容安排,1.IT審計介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,13,14,IT治理提出的背景,公司治理就是為所有股東創(chuàng)造和呈現(xiàn)價值的企業(yè)道德行為 公司治理包括組織中管理層、董事會、股東和其他利益相關(guān)法之間的一系列關(guān)系，它為制定公司目標(biāo)、確定實現(xiàn)目標(biāo)和監(jiān)督績效的方式提供了框架。,15,IT治理,16,IT治理,IT治理是一個綜合術(shù)語，它

6、包括信息系統(tǒng)，技術(shù)和通訊，業(yè)務(wù)，法律相關(guān)事務(wù)，所有利益相關(guān)方，董事會，高級管理層，流程所有人，IT供應(yīng)商，用戶和審計師。IT治理有助于確保IT和企業(yè)目標(biāo)保持一致。 IT治理是組織中的一種制度安排，目的是為了提高IT績效、降低IT風(fēng)險，有效地利用資源。 IT治理采用最佳實踐來確保組織信息及相關(guān)技術(shù)支持其業(yè)務(wù)目標(biāo)和價值交付，確保資源得到合理使用，風(fēng)險得到適當(dāng)管理、績效得到測評。,17,IT治理,IT治理在根本上關(guān)注以下兩方面的問題： IT向業(yè)務(wù)交付價值 ：由IT和業(yè)務(wù)的戰(zhàn)略一致驅(qū)動 IT風(fēng)險得到管理：通過向企業(yè)分配責(zé)任來驅(qū)動,18,IT治理,19,IT治理領(lǐng)域,內(nèi)容安排,1.IT審計介紹,2.IT

7、治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,20,Control Objectives for Information and related Technology COBIT是一個在國際上得到公認的、先進的和權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)，它在業(yè)務(wù)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，它可以輔助管理層進行IT 治理，指導(dǎo)組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。 面向業(yè)務(wù)是COBIT的主題，它不僅是為用戶和審計師而設(shè)計，而且更重要的是它可以作為管理者及業(yè)務(wù)過程的所有者的綜合指南。 COBIT真正關(guān)注的問題是，企業(yè)是否具備適當(dāng)?shù)目刂屏?，以確保符合相關(guān)的管

8、理規(guī)定。它幫助企業(yè)確定他們是否正在做他們表示要做的事，以及他們是否可以證明這一點,21,COBIT是什么？,COBIT第一版由信息系統(tǒng)審計與控制基金會（ISACF）于1996年發(fā)布。 COBIT第二版于1998年出版，修訂了高層控制目標(biāo)與詳細控制目標(biāo)，增加了實施工具集（Implementation Tool Set） 信息系統(tǒng)審計與控制協(xié)會（ISACA）及其相關(guān)的基金會在1998年創(chuàng)立 IT治理研究院(ITGI)，由ITGI制定并發(fā)布了COBIT第三版，加入了管理指南，以及擴展和加強了對IT治理的關(guān)注； COBIT基于ISACF的建立的IT控制目標(biāo)，參照了其他控制框架、行業(yè)標(biāo)準(zhǔn)； ITGI于2

9、005年底發(fā)布了COBIT第四版，這一版對IT某些過程進行了調(diào)整，強調(diào)了IT控制與IT治理五個領(lǐng)域的對應(yīng)關(guān)系。,22,COBIT 發(fā)展歷程,早期第1、2版以控制目標(biāo)和審計指南為主。 2000年推出第3版，重點突出了“管理指南”。 2006年推出第4版，精簡了控制目標(biāo)，并完善了管理指南 2007年推出第4.1版，將審計指南改為“簽證指南”，并提出ValueIT等理念，與IT治理聯(lián)系更緊密。,23,COBIT 發(fā)展歷程,COBIT中定義的IT資源如下。 (1)數(shù)據(jù)：是最廣泛意義上的對象(如外部和內(nèi)部的)、結(jié)構(gòu)化及非結(jié)構(gòu)化的、 圖形、聲音等。 (2)應(yīng)用系統(tǒng)：手工的以及計算機程序的總和。 (3)技術(shù)

10、：包括硬件、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)、多媒體等。 (4)設(shè)備：包括所擁有的支持信息系統(tǒng)的所有資源。 (5)人員：包括員工技能、意識，以及計劃、組織、獲取、交付、支持和監(jiān)控信息系統(tǒng)及服務(wù)的能力。,24,IT資源,COBIT定義了7方面的信息標(biāo)準(zhǔn)： 效果性（Effectiveness） ：信息系統(tǒng)提供對業(yè)務(wù)處理來說“有效” 的信息 效率性（Efficiency） ：“有效率” 地使用資源，提供信息 保密性（Confidentiality） ： 保護敏感信息，避免泄漏信息 一致性（Integrity） ：保證信息的“真實可信” ，即信息準(zhǔn)確、完整，并且從業(yè)務(wù)價值和業(yè)務(wù)需要的角度來說是正確有效的

11、 可用性（Availablity）：當(dāng)業(yè)務(wù)需要時，信息可隨時獲得 可靠性（Reliability）：為管理層維持組織運轉(zhuǎn)和履行所賦予職責(zé)提供適當(dāng)?shù)男畔?合規(guī)性（Compliance）：符合相關(guān)法律、規(guī)定、合同對業(yè)務(wù)過程的規(guī)定,25,IT準(zhǔn)則,活動：企業(yè)的信息系統(tǒng)是由一個個功能組成的，它們對應(yīng)于企業(yè)經(jīng)營領(lǐng)域的一個個活動。 過程：這些活動可以按照彼此之間關(guān)系的緊密程度或者目標(biāo)的一致程度歸結(jié)為一些過程，例如，定義IT戰(zhàn)略規(guī)劃、定義信息體系結(jié)構(gòu)、管理IT投資、風(fēng)險評估，等等。 域：過程之間的自然組合形成企業(yè)的域，與企業(yè)結(jié)構(gòu)的職責(zé)域相對應(yīng)。,26,活動、過程、域,27,活動、過程、域,內(nèi)容安排,1.IT

12、審計介紹,2.IT治理介紹,3.COBIT概念,4.COBIT體系框架,5.Q&A,28,29,COBIT框架模型,30,CoBit框架模型,Cobit可細化為34項高層控制目標(biāo)，318個細化控制目標(biāo) 。每個目標(biāo)都針對特定的IT過程；這些高層控制目標(biāo)又可組合為策劃與組織、采購與實施、交付與支持、監(jiān)控四大領(lǐng)域。,31,COBIT體系結(jié)構(gòu),32,COBIT產(chǎn)品簇,控制目標(biāo)（Control Objectives） 在34個高層控制目標(biāo)的基礎(chǔ)上，為每個IT過程定義了更為詳細的控制目標(biāo)（detail objectives，共計318個），用以指導(dǎo)IT控制工作、保證該過程的成功實施。,33,COBIT體系

13、結(jié)構(gòu),審計指南（Audit Guideline） 針對每個IT過程分別提出了審計方法，通過對照審查相應(yīng)的控制目標(biāo)實現(xiàn)對IT過程的評價和建議。 內(nèi)容： 如何了解該過程相關(guān)內(nèi)控，包括應(yīng)面詢的對象、問題、應(yīng)查閱的文檔 如何評價該過程的控制，包括具體要核查的項目 該過程中常規(guī)的符合性測試項目 該過程中常規(guī)的實質(zhì)性測試項目,34,COBIT體系結(jié)構(gòu),管理指南（Management Guideline） 針對每個IT過程均為管理者詳細定義了下列分析工具： 關(guān)鍵成功因素（CSF）：管理者“應(yīng)該作什么？”，即在每一個過程中最重要的因素或控制活動，可以作為IT投資的指導(dǎo)之一。 關(guān)鍵目標(biāo)指標(biāo)（KGI）：IT過程“執(zhí)行后的結(jié)果應(yīng)該作到怎樣”。若想實現(xiàn)業(yè)務(wù)目標(biāo)，該過程執(zhí)行后必須達到哪些指標(biāo)。 關(guān)鍵執(zhí)行指標(biāo)或關(guān)鍵性能指標(biāo)（KPI）：怎樣判斷正在執(zhí)行的IT過程當(dāng)前的狀態(tài)是否良好、是否需要調(diào)整。 成熟度模型（CMM）：為每一個過程定義了六種成熟度級別，使管理者可以評價本組織在該過程控制上所處的級別，然后通過與同行業(yè)標(biāo)竿企業(yè)相比較，判斷自身所處的先進程度、競爭優(yōu)勢和改進方向。,35,COBIT體系結(jié)構(gòu),36,COBIT各組件之間的關(guān)系,37,集大成者,38,COBIT